Fortinet’e Yönelik Brute-Force Saldırıları
Ağ güvenliği alanında yaşanan olaylar, kurumsal verilerin güvenliğini tehdit eden ciddi sorunlar barındırmaktadır. Fortinet üzerinde gerçekleştirilen brute-force saldırıları, bu tehditlerin nasıl şekillendiğini gözler önüne seriyor. GreyNoise tarafından tespit edilen bu saldırılar, Ağustos ayının başında iki dalga halinde gerçekleşti ve bu durum, bazı önemli güvenlik açıklarının ortaya çıkmasının habercisi olabilecek bir olayı işaret ediyor.
Brute-Force Saldırılarının İlk Dalgası
Ağustos 3, 2025 tarihinde, Fortinet SSL VPN hizmetine yönelik büyük bir brute-force saldırı dalgası yaşandı. Bu durum, GreyNoise tarafından izlenen belirgin bir aktivite patikasının parçası olarak kaydedildi. Yapılan analizlerde, JA4+ parmak izi analizi yöntemi kullanılarak, bu saldırının daha önceden elde edilen verilere dayandırıldığı belirlendi. Saldırıların kaynağı, Pilot Fiber Inc. ile ilişkilendirilen konut IP adresleri üzerinden gerçekleşiyordu.
GreyNoise, “Bu örtüşme atıfı kesin olarak doğrulamıyor, ancak araçların veya ağ ortamlarının olası bir yeniden kullanımını düşündürüyor,” diye belirtti.
İkinci Dalgada Hedef Değişimi
Ağustos 5, 2025’te, aynı saldırganlar tarafından yeni bir brute-force kampanyası başlatıldı. Bu sefer saldırılar, FortiOS SSL VPN uç noktalarından, FortiManager’ın FGFM servisine yönelmişti. GreyNoise, “Ağustos 3’teki trafik, FortiOS profilini hedef alırken, 5’inden itibaren TCP ve istemci imzaları ile belirlenen trafiğin hiç FortiOS’u hedeflemediğini, aksine FortiManager – FGFM profilini hedef aldığını” ifade etti.
Bu durum, ya aynı saldırganların ya da benzer araçlar ve altyapılar kullananların VPN girişlerini zorlamaktan, FortiManager erişimini zorlamaya geçiş yaptığını gösteriyor.
Tehdit İstatistikleri ve Önlemler
GreyNoise, aynı zamanda saldırılar sırasında herhangi bir araştırmacının tarama yapıyor olmasının olası olmadığına dikkat çekti. Kullanılan teknikler ve taktikler, credential brute-forcing işlemleriyle bağlantılı olarak, belirgin bir sızma girişimi olarak değerlendiriliyor.
Aşağıdaki IP adresleri, bu saldırılara karışanların bloklanması gerektiğini vurgulamak için listelenmiştir:
- 31.206.51.194
- 23.120.100.230
- 96.67.212.83
- 104.129.137.162
- 118.97.151.34
- 180.254.147.16
- 20.207.197.237
- 180.254.155.227
- 185.77.225.174
- 45.227.254.113
Gelecek Güvenlik Açıkları
GreyNoise, güvenlik açıklarının ortaya çıkmadan önce yaşanan bu aktivite patlamalarını %80 oranında korrelasyon gösterdiğini belirtiyor. Yani, bu tür yoğun aktiviteler genellikle, aynı ürünle ilgili yeni güvenlik açıklarının ortaya çıkmasından yalnızca birkaç hafta önce gerçekleşiyor.
Bu noktada, güvenlik uzmanlarının, eski ve yamalanmış hatalardan kaynaklanmış başarısız girişimlere dikkat etmemeleri, aksine bu tür olayları potansiyel zero-day açıklamalarının habercisi olarak değerlendirmeleri gerektiği kaydediliyor.
Güvenlik Önlemleri ve İyileştirmeleri
Defansif yaklaşım benimseyen bir kurum için, bu tür yoğun aktiviteler ciddiye alınmalıdır. Yapılması gereken bazı önlemler şunlardır:
- Bloklama Listeleri: Yukarıda belirtilen IP adresleri derhal bloklanmalıdır.
- Giriş Koruma Önlemleri: Fortinet cihazlarında oturum açma koruması artırılmalı; karmaşık şifreler ve çok faktörlü kimlik doğrulama kullanılmalıdır.
- Dış Erişim Güçlendirmesi: Dış erişim için güvenli bir yapı oluşturulmalı, erişim yalnızca güvenilir IP aralıkları ve VPN’ler ile sınırlı tutulmalıdır.
Analiz ve İzleme
Saldırılara yönelik sürekli izleme ve ihtiyaç duyuldukça güncelleme yapmak, bir güvenlik stratejisinin başarısı için kritik öneme sahip. GreyNoise gibi tehdit analiz platformları, bu tür saldırıların erken tespiti konusunda önemli bir rol oynamaktadır. Tüm bu veriler, kuruluşların güvenliğini sağlama konusunda bilinçli ve etkin adımlar atmalarına olanak tanır.
Herhangi bir güvenlik durumu, önceden tahmin edilerek tedbir alınmadığı takdirde, ciddi zararlara yol açabilir. Bu nedenle, güncel güvenlik tehditlerini dikkate alarak hareket etmek, organizasyonlardaki tüm kritik süreçlerin sağlıklı bir şekilde işleyebilmesi için zorunludur.
